Za analizu mrežnog prometa potrebno je mrežni paket poslati NTOP/NPROBE ili Out-of-band Network Security and Monitoring Tools.Postoje dva rješenja za ovaj problem:
Port Mirroring(također poznat kao SPAN)
Mrežna slavina(također poznat kao Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, itd.)
Prije objašnjavanja razlika između dva rješenja (Port Mirror i Network Tap), važno je razumjeti kako Ethernet radi.Na 100Mbita i više, domaćini obično govore u full duplexu, što znači da jedan host može slati (Tx) i primati (Rx) istovremeno.To znači da je na 100 Mbit kabelu spojenom na jedno računalo ukupna količina mrežnog prometa koji jedno računalo može poslati/primiti (Tx/Rx)) 2 × 100 Mbit = 200 Mbit.
Port mirroring je aktivna replikacija paketa, što znači da je mrežni uređaj fizički odgovoran za kopiranje paketa na zrcaljeni port.
To znači da uređaj mora izvršiti ovaj zadatak koristeći neki resurs (kao što je CPU), a oba smjera prometa će se replicirati na isti priključak.Kao što je ranije spomenuto, u punoj dupleksnoj vezi to znači da
A -> B i B -> A
Zbroj A neće premašiti brzinu mreže prije nego što dođe do gubitka paketa.To je zato što fizički nema prostora za kopiranje paketa.Ispostavilo se da je zrcaljenje porta izvrsna tehnika jer je mogu izvesti mnogi preklopnici (ali ne svi), jer većina preklopnika s nedostatkom gubitka paketa, ako nadzirete vezu s preko 50% opterećenja, ili zrcalite portove na brži port (npr. zrcali 100 Mbit portove na 1 Gbit port).Da ne spominjemo da zrcaljenje paketa može zahtijevati razmjenu resursa preklopnika, što može opteretiti uređaj i uzrokovati smanjenje performansi razmjene.Imajte na umu da možete spojiti 1 port na jedan port, ili 1 VLAN na jedan port, ali općenito ne možete kopirati mnogo portova na 1. (Dakle, nedostaje zrcalo paketa).
Mrežni TAP (pristupna točka terminala)je potpuno pasivni hardverski uređaj, koji može pasivno uhvatiti promet na mreži.Obično se koristi za praćenje prometa između dvije točke u mreži.Ako se mreža između ove dvije točke sastoji od fizičkog kabela, mrežni TAP može biti najbolji način za hvatanje prometa.
Mrežni TAP ima najmanje tri priključka: priključak A, priključak B i priključak za monitor.Da biste postavili slavinu između točaka A i B, mrežni kabel između točke A i točke B zamjenjuje se parom kabela, od kojih jedan ide do A priključka TAP-a, a drugi do B priključka TAP-a.TAP propušta sav promet između dviju mrežnih točaka, tako da su one i dalje međusobno povezane.TAP također kopira promet na svoj priključak za monitor, čime omogućuje uređaju za analizu da sluša.
Mrežne TAP-ove obično koriste uređaji za nadzor i prikupljanje kao što je APS.TAP-ovi se također mogu koristiti u sigurnosnim aplikacijama jer nisu nametljivi, ne mogu se otkriti na mreži, mogu se nositi s full-duplex i mrežama koje se ne dijele i obično prolaze kroz promet čak i ako slavina prestane raditi ili izgubi napajanje .
Kako mrežni priključci ne primaju, već samo odašilju, preklopnik nema pojma tko se nalazi iza priključaka.Posljedica toga je da emitira pakete na sve portove.Stoga, ako svoj nadzorni uređaj spojite na preklopnik, takav će uređaj primati sve pakete.Imajte na umu da ovaj mehanizam radi ako uređaj za nadzor ne šalje nikakav paket preklopniku;inače će sklopka pretpostaviti da prisluškivani paketi nisu za takav uređaj.Da biste to postigli, možete koristiti mrežni kabel na koji niste spojili TX žice ili koristiti mrežno sučelje bez IP-a (i bez DHCP-a) koje uopće ne prenosi pakete.Na kraju imajte na umu da ako želite koristiti dodir da ne biste izgubili pakete, tada ili nemojte spajati upute ili koristite prekidač gdje su dodirne upute sporije (npr. 100 Mbit) od priključka za spajanje (npr. 1 Gbit).
Dakle, kako uhvatiti mrežni promet?Mrežni priključci u odnosu na Mirror portova prekidača
1- Jednostavna konfiguracija: Network Tap > Port Mirror
2- Utjecaj na performanse mreže: Mrežni dodir < Port Mirror
3- Mogućnost snimanja, replikacije, agregacije, prosljeđivanja: Mrežni dodir > Port Mirror
4- Latencija prosljeđivanja prometa: Mrežni dodir < Port Mirror
5- Kapacitet pretprocesiranja prometa: Mrežna slavina > Port Mirror
Vrijeme objave: 30. ožujka 2022
